注入Sidecar后,健康检查失败或者无效。本文以TCP健康检查端口8087为例,启用mTLS后,在容器服务管理控制台的容器组详情页面事件页签下,未显示8087端口的健康检查信息。
为Pod注入Sidecar代理后,业务Pod的流量会被istio-proxy代理。当Pod开始停止时,对应的Service不再转发流量给Pod。
在Istio中,默认收到退出信号5秒后会强制停止istio-proxy,不再接收新的Inbound连接(入口流量),将会继续处理存量的Inbound连接,Outbound连接(出口流量)不受影响,可以正常发起。如果被停止的服务提供的接口调用的耗时较长,已有的Inbound连接和Outbound连接即使没有处理完成也会被终止。
您可以延长Sidecar代理终止等待时长,使得Inbound和Outbound连接可以在该时长内处理完成。
如果您无法预估请求的最大等待时长,建议配置Sidecar代理生命周期的preStop脚本。使用preStop脚本判断是否还存在请求连接,无请求连接后,将等待默认时长(5秒)再完成退出 。
{ "postStart": { "exec": { "command": [ "pilot-agent", "wait" ] } }, "preStop": { "exec": { "command": [ "/bin/sh", "-c", "while [ $(netstat -plunt | grep tcp | grep -v envoy | wc -l | xargs) -ne 0 ]; do sleep 1; done" ] } }}
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。